我设法使用 clientid实现了google 描述的 auth 功能。
因此,当访问 html 页面时,系统会要求您使用 google 帐户进行身份验证。
问题:现在,每个人都可以使用该网站,只要他/她有一个谷歌帐户进行身份验证。如何将使用限制为特定的用户组?我是否需要管理由User对象提供的唯一用户 ID 列表?还是已经有一些预构建的东西,我可以使用?
问问题
494 次
1 回答
0
我认为最安全的方法是保留 ID 列表。您希望 google 或其他任何人知道您希望允许什么样的用户的依据是什么?
即使它唯一的地理区域,有时人们可能会使用代理或从远程位置使用您的站点。
您链接到的网站也说了很多:
在 API 后端指定授权客户端
您必须通过客户端 ID 白名单指定允许哪些客户端访问 API 后端。客户端 ID 由 Google API 控制台从客户端密钥(例如用于保护 Android 应用程序的密钥的 SHA1 指纹)或从 iOS 应用程序的 Bundle ID/Apple Store ID 对生成,如创建 OAuth 中所述2.0 客户端 ID。在运行时,如果客户端应用程序的客户端密钥与 API 后端的客户端 ID 白名单中的客户端 ID 中包含的密钥匹配,则客户端应用程序将获得向 API 后端发送请求所需的授权令牌。
此外,它唯一的常见身份验证(是谁)、授权(他们可以在您的网站上做什么)来自您。
于 2013-05-25T21:33:04.233 回答